iptables防火墙<一>

iptables防火墙的表和链

    

   

1. iptables防火墙简介

    iptables ― administration tool for IPv4 packet filtering and NAT

    iptables就是一个IPV4的包过滤工具。是Linux系统上的软件防火墙。主要工作在OSI七层二、三、四层，squid+iptables也可以控制七层。

    名词解释：包过滤工具：对流入流出服务器的数据进行精细的控制。

2.iptables表和链[参见man iptables]

  1）iptables的表：

    filter：默认的表；

    nat：负责网络地址转换;

    mangle：这个表用于专门的包修改；

    raw：主要用于配置豁免。

filter:This  is  the  default  table (if no -t option is passed).
nat:This  table  is  consulted when a packet that creates a new connection is encountered.
mangle:This table is used for specialized packet alteration.
raw:This  table is used mainly for configuring exemptions from connection trackingin combination with the NOTRACK target.

 2）iptables表是链的容器。容器即包含关系。

    iptables各个表所包含的链：

    INPUT链:过滤所有目标地址是本机的数据包；

    OUTPUT：过滤所有源地址是本机的数据包；

    FORWARD:负责转发流经主机的数据包；

    PREROUTING:在数据包到达防火墙之前进行路由判断的规则，作用是改变目的地址和端口；

    POSTROUTING:在数据包离开防火墙进行路由之后执行的规则，作用改变数据包的源地址和源端口。

INPUT     (for packets coming into the box itself)
OUTPUT     (for  altering locally-generated packets before routing)
FORWARD    (for packets being  routed  through the box)
PREROUTING    (for altering incoming packets before routing)
POSTROUTING  (for  altering  packets as they are about to go out).

各个表所包含的链：

表	filter	NAT	mangle	raw
INPUT	√			√
OUTPUT	√		√	√
FORWARD	√		√	√
PREROUTING		√	√	√
POSTROUTING		√	√	√

3.iptables工作流程：

  iptables是采用数据包过滤机制工作的，他会对请求的数据包头数据进行分析，并根据我们预先设定的规则来匹配决定是否可以进入主机。

・防火墙是层层过滤的，实际上是按照配置的规则从上到下，从前到后进行过滤的；

・如果匹配上规则，则明确表明是阻止还是通过，数据包就不在向下匹配新规则了；

・如果规则中没有明确表明是阻止还是通过，也就是没有匹配规则，向下进行匹配，直到匹配到默认规则得到明确的阻止还是通过；

・防火墙默认规则是所有规则执行完才会执行的。

4.iptables防火墙之我见

    iptables防火墙生产中在内网关闭，在外网打开。大并发情况下不能打开iptables防火墙，消耗资源，影响性能。大并发建议用硬件防火墙。

    个人建议，尽可能不给服务器配置外网IP，可以通过集中代理转发，并发不是很大的情况下可以开启防火墙。

    具备外网IP的服务器上不对外的服务最好要做源地址限制；对外提供的服务，不能做源地址限制，例如80端口。

    企业硬件防火墙和iptables防火墙可以同时用。企业防火墙一般放在网关位置，相当于大厦的保安。但是，楼里的每个屋子还是需要有人或者锁门的。

    IDC机房部署了硬件防火墙，我们的服务器也要打开防火墙。

iptables参数见http://7826443.blog.51cto.com/7816443/1705791

iptables应用见http://7826443.blog.51cto.com/7816443/1705790 

iptables默认安全规则脚本参考：http://www.2cto.com/Article/201110/108152.html